Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Neuer Bot nistet sich im…

IAStorIcon.exe

  1. Thema

Neues Thema Ansicht wechseln


  1. IAStorIcon.exe

    Autor: Hassashin 15.02.13 - 00:28

    Das kann ja lustig werden in den nächsten Tagen, wenn User mit Intel-Chipsätzen ihren Taskmanager durchsuchen und "HUUUUUCH!, ich bin infiziert!" schreien. Man sollte nämlich im Artikel vielleicht noch erwähnen, dass die Datei "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" zum RST-Treiber für SATA-/RAID-Platten gehört.

    Wahrscheinlich werden nach der unvollständigen Golem-Meldung viele in Panik die Datei samt Ordner erstmal löschen oder in Quaratäne stecken und sich anschließend wundern, wenn ihr System nicht mehr rund läuft. Was dann natürlich erst recht als Hinweis/Beweis für einen Trojanerfund gedeutet wird.

    Ich möchte in den nächsten Tagen kein Telefonsupporter bei Intel sein.

    Gruß
    Hassashin

    --
    Lebenslanges Arbeitsverbot für alle bei vollem Lohnausgleich!

  2. Re: IAStorIcon.exe

    Autor: Endwickler 15.02.13 - 05:50

    Hassashin schrieb:
    --------------------------------------------------------------------------------
    > Das kann ja lustig werden in den nächsten Tagen, wenn User mit
    > Intel-Chipsätzen ihren Taskmanager durchsuchen und "HUUUUUCH!, ich bin
    > infiziert!" schreien. Man sollte nämlich im Artikel vielleicht noch
    > erwähnen, dass die Datei "C:\Program Files (x86)\Intel\Intel(R) Rapid
    > Storage Technology\IAStorIcon.exe" zum RST-Treiber für SATA-/RAID-Platten
    > gehört.
    >
    > Wahrscheinlich werden nach der unvollständigen Golem-Meldung viele in Panik
    > die Datei samt Ordner erstmal löschen oder in Quaratäne stecken und sich
    > anschließend wundern, wenn ihr System nicht mehr rund läuft. Was dann
    > natürlich erst recht als Hinweis/Beweis für einen Trojanerfund gedeutet
    > wird.
    >
    > Ich möchte in den nächsten Tagen kein Telefonsupporter bei Intel sein.

    "gestartet ohne eigenen Prozess oder Thread." klingt jedenfalls merkwürdig, könnte aber passieren, wenn der Code als ... nein, hm, dann wäre er auch ein Thread.



    3 mal bearbeitet, zuletzt am 15.02.13 06:00 durch Endwickler.

  3. Re: IAStorIcon.exe

    Autor: Hassashin 15.02.13 - 06:06

    Endwickler schrieb:

    > Hm, ich hatte gelesen, dass es keine Datei auf der Platte ist, wie sollte
    > man sie dann löschen?
    > Falls es jedoch eine Datei im Dateisystem eines Datenträgers gäbe, dann
    > wäre das doch eine Falschbeschreibung im Artikel.

    Nö, steht doch groß und breit da:

    | Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in
    | einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter,
    | die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird.
    | [...]
    | Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen
    | oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die
    | Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet -
    | ohne eigenen Prozess oder Thread.

    Irgendeinen lokalen Code braucht es schon, um den Prozess bei jedem Booten zu starten und die anderen Komponenten vom Controlserver nachzuladen. Diese restlichen Module sind es dann, die nur im RAM landen und nicht auf der Platte.

    Gruß
    Hassashin

    --
    Lebenslanges Arbeitsverbot für alle bei vollem Lohnausgleich!

  4. Re: IAStorIcon.exe

    Autor: Endwickler 15.02.13 - 08:42

    Hassashin schrieb:
    --------------------------------------------------------------------------------
    > Endwickler schrieb:
    >
    > > Hm, ich hatte gelesen, dass es keine Datei auf der Platte ist, wie
    > sollte
    > > man sie dann löschen?
    > > Falls es jedoch eine Datei im Dateisystem eines Datenträgers gäbe, dann
    > > wäre das doch eine Falschbeschreibung im Artikel.
    >
    > Nö, steht doch groß und breit da:
    >
    > | Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet
    > ist, in
    > | einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe
    > herunter,
    > | die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird.
    > | [...]
    > | Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte,
    > Speicherzuordnungen
    > | oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben
    > die
    > | Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er
    > gestartet -
    > | ohne eigenen Prozess oder Thread.
    >
    > Irgendeinen lokalen Code braucht es schon, um den Prozess bei jedem Booten
    > zu starten und die anderen Komponenten vom Controlserver nachzuladen. Diese
    > restlichen Module sind es dann, die nur im RAM landen und nicht auf der
    > Platte.

    Nicht immer sofort antworten. Ich brauche immer zwei Editierdurchgänge um alles zu entfernen, was ich im ersten Augenblick unsinnig schrieb. "Ohne eigenen Thread oder Prozess" ist, grob gesagt, trotzdem unverständlich. Sicher wird anscheinend keine neue ID erstellt, aber es läuft innerhalb eines Threads und somit ist das der dort eigene Thread.

  5. Re: IAStorIcon.exe

    Autor: DylanD09 15.02.13 - 10:29

    Ich denke, dass der nachgeladene Schadcode im eigenen Thread innerhalb des IAStorIcon.exe Prozesses läuft, aber der Thread dürfte von Virenscannern kaum zu erkennen/auffinden sein.

  6. Re: IAStorIcon.exe

    Autor: Endwickler 15.02.13 - 10:37

    DylanD09 schrieb:
    --------------------------------------------------------------------------------
    > Ich denke, dass der nachgeladene Schadcode im eigenen Thread innerhalb des
    > IAStorIcon.exe Prozesses läuft, aber der Thread dürfte von Virenscannern
    > kaum zu erkennen/auffinden sein.

    Das Problem sehe ich eher darin, dass das, was der eigentliche Schadcode ist, in keiner gestarteten Datei zu finden sein sollte. Hier muss vermutlich eine alternative Virusbekämpfung her, bei der statt der Virusdateien auch so etwas wie virusfördernde, virusstartende oder virusladende Dateien beachtet werden. Vermutlich wird einfach eine Einstufung als Backdoor oder so folgen. Das Problem kann auch sein, dass der nachgeladene Teil dann vielleicht auch für eine Veränderung des Startprogramms sorgt, so dass dieses sich vielleicht nach jedem Virusladevorgang ändern kann.

  7. Re: IAStorIcon.exe

    Autor: DylanD09 15.02.13 - 10:57

    Endwickler schrieb:

    > Das Problem sehe ich eher darin, dass das, was der eigentliche Schadcode
    > ist, in keiner gestarteten Datei zu finden sein sollte.

    Genau das meinte ich.

    > ...Einstufung als Backdoor oder so folgen. Das Problem kann auch sein, dass
    > der nachgeladene Teil dann vielleicht auch für eine Veränderung des
    > Startprogramms sorgt, so dass dieses sich vielleicht nach jedem
    > Virusladevorgang ändern kann.

    Wäre ein gutes Feature (aus der Sicht der Kriminellen). Es kann auch weiter auf die Spitze getrieben werden, mit encryption/packing des auf der Platte abgelegten codes etc..

  8. Re: IAStorIcon.exe

    Autor: rajan1 12.09.18 - 10:06

    Das Problem sehe ich, was ist der eigentliche bösartige Code, es ist nicht ein großes Problem, überprüfen Sie es
    https://unfitpc.com/iastoricon-exe Ich bin sicher, dass es dir wirklich hilft.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Heilbronn, Heilbronn
  2. VNR Verlag für die Deutsche Wirtschaft AG, Bonn
  3. CodeCamp:N GmbH, Nürnberg
  4. JENOPTIK AG, Jena

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,95€
  2. 3,99€
  3. 3,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

  1. US-Boykott: Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen
    US-Boykott
    Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen

    Durch den Handelsboykott der USA gerät Huawei immer stärker unter Druck: Das chinesische Unternehmen könnte die Möglichkeit verlieren, seine Mobilegeräte nach den gängigen Standards für SD-Karten und Drahtlosnetzwerke zu bauen - oder zumindest mit den entsprechenden Logos zu werben.

  2. Apple: Update auf iOS 12.3.1 behebt Probleme mit VoLTE
    Apple
    Update auf iOS 12.3.1 behebt Probleme mit VoLTE

    Apple hat ohne öffentlichen Betatest ein Update für iOS veröffentlicht. Es löst mehrere Probleme, darunter einen ärgerlichen Bug mit Voice over LTE und zwei Fehler in der Nachrichten-App.

  3. Project Xcloud: Microsoft streamt Spiele mit Xbox-Blades
    Project Xcloud
    Microsoft streamt Spiele mit Xbox-Blades

    Entwickler müssen nichts am Code von Xbox-Spielen ändern, um sie auf den Servern von Microsoft zu streamen. Das hat Kareem Choudhry von Microsoft gesagt - und gleichzeitig eine neue API vorgestellt.


  1. 13:20

  2. 12:11

  3. 11:40

  4. 11:11

  5. 17:50

  6. 17:30

  7. 17:09

  8. 16:50